La sonda de espionaje cibernético de GhostNet aún tiene extremos flojos

Casi tres meses después de que un informe detallara una operación mundial amplia de ciberespionaje, muchos países que fueron hackeados pueden no haber sido notificados aún formalmente.

Las barreras legales han obstaculizado los esfuerzos para contactar a muchos países cuyas computadoras Las embajadas y los ministerios de asuntos exteriores se infectaron con software malicioso capaz de robar datos, dijo Nart Villeneuve, uno de los autores de un informe detallado de 53 páginas que arrojó nueva luz sobre el alcance del ciberespionaje.

El informe fue escrito por analistas con Information Warfare Monitor, un proyecto de investigación del Grupo SecDev, un grupo de expertos, y el Centro Munk de Estudios Internacionales de la Universidad de Toronto.

[Leer más] g: Cómo eliminar el malware de su PC con Windows]

Los analistas descubrieron una operación apodada "GhostNet" que infectó computadoras pertenecientes a organizaciones no gubernamentales tibetanas y la oficina privada del Dalai Lama.

Investigaciones adicionales mostraron las computadoras de 103 países fueron infectados, así como organizaciones como la secretaría de ASEAN (Asociación de Naciones del Sudeste Asiático) y el Banco Asiático de Desarrollo. Los datos se enviaron a servidores remotos, muchos de los cuales se encontraban en China.

El informe fue una de las primeras investigaciones reveladas públicamente que mostró lo fácil que era para los piratas informáticos atacar organizaciones mediante ingeniería social y ataques de malware.

Los piratas informáticos utilizaban malware comúnmente disponible, una herramienta de acceso remoto llamada gh0st RAT (Herramienta de acceso remoto), para robar documentos confidenciales, operar cámaras web y controlar completamente las computadoras infectadas. En el caso de las ONG tibetanas, el personal recibió un correo electrónico que contenía un documento de Microsoft Word que explotaba una vulnerabilidad conocida que no estaba reparada en la aplicación.

Varios errores de los hackers permitieron a los investigadores identificar los servidores utilizados para recopilar datos y el alcance de las sondas, dijo Villeneuve.

Villeneuve dijo que la información detallada sobre las computadoras comprometidas solo se le ha dado al Centro Canadiense de Respuesta a Incidentes Cibernéticos (CCIRC), el centro nacional de información cibernética del país. El CCIRC está en proceso de contactar a algunos de los grupos afectados, dijo.

Los analistas que escribieron el informe consideraron que esa era la opción más segura, ya que no querían revelar exactamente qué computadoras habían sido comprometidas a países que podrían potencialmente abusar de la información sensible.

"Si puedes imaginar la entrega de esta lista de computadoras infectadas al CERT Chino (Equipo de Respuesta a Emergencias Informáticas), [eso] sería algo con lo que no me sentiría cómodo", dijo Villeneuve, que habló en el marco de la Conferencia sobre guerra cibernética el jueves en Tallin, Estonia. "Sentimos que estábamos en una especie de vacío legal".

Desde que el informe mencionó a las naciones afectadas, es probable que estén al tanto de lo sucedido, dijo Villeneuve. Pero el hecho de que no se haya notificado a todos subraya las preocupaciones sobre el intercambio de información sobre incidentes cibernéticos.

Villeneuve dijo que estaba "paranoico y asustado" por ir a la cárcel por su investigación, aunque todo se hizo en línea con estándares éticos y que una simple búsqueda en Google arrojó alguna de la información más contundente sobre cómo GhostNet recopiló datos.

"Prefiero no asustar a las autoridades con toda esta información sobre hosts infectados y sensibles", dijo Villeneuve. "Sentimos que era necesario pasar por los canales adecuados, lo que mejor podíamos decir era el Centro de respuesta a incidentes cibernéticos".

El informe ha servido como una llamada de atención a las organizaciones sobre seguridad. Sin embargo, las ONG más pequeñas a menudo no cuentan con la experiencia para implementar una seguridad informática más completa, a pesar de que su falta es una amenaza, dijo Villeneuve.

Desde que el informe se hizo público en marzo, GhostNet se ha vaporizado. Los servidores que recopilaban datos se desconectaron un día después del lanzamiento del informe. China negó oficialmente cualquier conexión con la operación, y los responsables de su funcionamiento nunca han sido identificados, dijo Villeneuve.